基于大數(shù)據(jù)發(fā)現(xiàn)的僵尸木馬病毒檢測及管控方法
【技術(shù)領(lǐng)域】
[0001]本發(fā)明涉及網(wǎng)絡(luò)安全技術(shù)領(lǐng)域,具體涉及一種僵尸木馬病毒檢測及管控方法。
【背景技術(shù)】
[0002]隨著Internet的不斷發(fā)展,WEB網(wǎng)站已經(jīng)成為互聯(lián)網(wǎng)最重要的資源,在眾多的WEB網(wǎng)站中有些也包含著惡意的木馬網(wǎng)站,當用戶訪問到木馬網(wǎng)站時,用戶的主機很有可能會被木馬病毒給感染,此時控制者和被感染主機之間所形成了一個可一對多控制的網(wǎng)絡(luò)。攻擊者通過各種途徑傳播僵尸程序感染互聯(lián)網(wǎng)上的大量主機,而被感染的主機將通過一個控制信道接收攻擊者的指令,組成一個僵尸網(wǎng)絡(luò),對互聯(lián)網(wǎng)安全造成了極大的破壞。因此需要對可疑域名攻擊的僵尸網(wǎng)絡(luò)進行深度分析以有效地識別這種網(wǎng)絡(luò)的內(nèi)在結(jié)構(gòu)并對其進行有效的管控杜絕這種隱患。
[0003]現(xiàn)有的技術(shù)是結(jié)合殺毒軟件,在客戶端利用病毒的特征碼識別用戶是否感染了木馬病毒,如果發(fā)現(xiàn)利用殺毒程序進行病毒清理。這樣的技術(shù)存在如下缺點:
[0004](I)該技術(shù)是一種被動的防御手段,無法阻止并預(yù)測用戶訪問新的病毒傳播網(wǎng)站,并且即便是發(fā)現(xiàn)了傳播網(wǎng)站,也無法通知其他客戶不要訪問。
[0005](2)只能發(fā)現(xiàn)本機是否感染了病毒,無法斬斷控制源對整個網(wǎng)絡(luò)的控制。
[0006](3) 一切的技術(shù)都是基于客戶端的,如果用戶沒有安裝或沒有更新,則完全無法防御。
[0007]因此,亟需一種有效的僵尸木馬病毒檢測及管控方法以解決以下問題:
[0008](I)被感染的大量主機對可疑域名進行訪問時,可疑域名會有大量的訪問量,而正常的域名如百度等,訪問量同樣也很巨大,單以訪問量做對比,易與正常域名混淆,因此在對可疑域名的定位識別上需要更細致的區(qū)分;
[0009](2)在識別出來的控制端中,很有可能有一部分只是肉機,而肉機只是擁有管理權(quán)限的遠程電腦,既是受控制端控制的遠程電腦,而真正的控制端依然可以以肉機電腦為跳板(代理服務(wù)器)對其它電腦發(fā)起攻擊,這時需要對可疑域名攻擊的僵尸網(wǎng)絡(luò)進行深度分析,定位出最終控制端;
[0010](3)在對搜集的域名進行分析統(tǒng)計并定位出可疑域名后,需要建立病毒庫以記錄歷史分析統(tǒng)計信息,同時依據(jù)病毒庫里的信息數(shù)據(jù)對僵尸網(wǎng)絡(luò)、病毒活躍度進行跟蹤分析,掌握全網(wǎng)整體趨勢動態(tài)分布。
【發(fā)明內(nèi)容】
[0011]本發(fā)明的目的在于提供一種基于大數(shù)據(jù)發(fā)現(xiàn)的僵尸木馬病毒檢測及管控方法。
[0012]本發(fā)明的目的可通過以下的技術(shù)措施來實現(xiàn):
[0013]—種基于大數(shù)據(jù)發(fā)現(xiàn)的僵尸木馬病毒檢測及管控方法,包括以下四個具體的步驟:收集傳播網(wǎng)站獲取病毒樣本、分析被感染服務(wù)器病毒特征、提示受感染用戶和追蹤并控阻止控制源;
[0014]步驟1,收集傳播網(wǎng)站獲取病毒樣本:采用蜜罐技術(shù),即將傳統(tǒng)服務(wù)器采用虛擬化技術(shù)形成多臺服務(wù)器,作為蜜罐機器,把病毒鏈接下發(fā)給該蜜罐機器,模擬用戶瀏覽器訪問行為,訪問病毒鏈接或者下載病毒木馬程序從而獲得病毒樣本,遍歷所有的可疑網(wǎng)站、域名、全部子路徑獲取病毒樣本,同時在系統(tǒng)防護和控制僵尸木馬網(wǎng)絡(luò)的時候也實時更新系統(tǒng)本身病毒庫的病毒樣本信息,根據(jù)通告上傳和自我追蹤發(fā)現(xiàn)的方式使得系統(tǒng)形成齊全的病毒樣本。所述病毒鏈接從DNS管理系統(tǒng)、DNS大數(shù)據(jù)分析系統(tǒng)、DNS攻擊防護系統(tǒng)、CNCERT、集團通告及其他第三方系統(tǒng)處獲得。通過系統(tǒng)病毒庫里全面的病毒樣本信息,根據(jù)僵尸木馬病毒網(wǎng)絡(luò)域名的關(guān)聯(lián)和肉機控制源及DNS數(shù)據(jù)特征追蹤并分析出控制源。所述追蹤并分析出控制源的依據(jù)例如是所有被控制端對控制端的訪問行為呈現(xiàn)一致性的規(guī)律。
[0015]步驟2,分析被感染服務(wù)器病毒特征:通過系統(tǒng)病毒庫里的病毒樣本和被感染服務(wù)器的病毒對比數(shù)據(jù)進行分析,對一般普通感染用戶,識別并檢測出病毒類型和數(shù)據(jù)信息并更新系統(tǒng)病毒庫,通過對比分析出的數(shù)據(jù)找出控制端。被感染服務(wù)器稱為蜜罐服務(wù)器,其所有對外訪問行為都是被監(jiān)控起來的,即被感染服務(wù)器的任何和控制源的聯(lián)絡(luò)都將被外層服務(wù)器所獲取,外層服務(wù)器通過觀察蜜罐機器內(nèi)部進程的網(wǎng)絡(luò)訪問行為而獲取控制源信息;通過設(shè)定感染服務(wù)器長期監(jiān)控的規(guī)則,判斷是否中毒及所中病毒類型信息,通過分析病毒特征機器傳播源頭端口,追溯到控制源,當控制端是IP地址時,系統(tǒng)關(guān)聯(lián)解析地址為該IP地址的域名從而分析各種可疑域名,通過域名方式發(fā)現(xiàn)病毒木馬蠕蟲新特征,分析受控端病毒行為特征追蹤到控制端地址;
[0016]步驟3,提示受感染用戶:當準確定位了控制源之后,將向同樣訪問這些控制源的用戶推送彈窗信息提醒表示用戶已經(jīng)被病毒木馬感染:當檢測某類病毒感染范圍波及到一定規(guī)模時,系統(tǒng)會生成受控端用戶名文件列表,并發(fā)送給認證系統(tǒng),在僵尸木馬網(wǎng)絡(luò)感染的持續(xù)時間段內(nèi)批量地處理受控端用戶并將之踢下線,保證用戶不被僵尸木馬網(wǎng)站攻擊感染,其中下線狀態(tài)是由 Radius (Remote Authenticat1n Dial In User Service)接口反饋的(該Radius接口包括:查詢接口:根據(jù)IP查詢賬戶信息;推送接口:CoA接口 ;控制處置接口:批量踢用戶下線或者上網(wǎng)高峰期間持續(xù)多長時間踢用戶下線,由本系統(tǒng)提供受控端列表文件);對于公眾DNS,在城域網(wǎng)出口路由器增加路由策略,將對公共DNS訪問的請求轉(zhuǎn)發(fā)到省網(wǎng)DNS,由省網(wǎng)DNS代替公共DNS對這些請求做出應(yīng)答;
[0017]步驟4,追蹤并封殺控制源:根據(jù)系統(tǒng)病毒庫對比分析被感染服務(wù)器病毒特征分析出控制源的IP地址或域名后,如果控制源是域名,則直接攔截封殺與控制源關(guān)聯(lián)的可疑域名,使得可疑域名無法訪問而達到管控控制源的目的;假如控制源是臺純IP服務(wù)器,那么則直接封殺該控制源的路由。
[0018]本發(fā)明對比現(xiàn)有技術(shù),有如下優(yōu)點:
[0019]1.可疑病毒樣本識別度高,采用蜜罐的方式能夠更有效地獲取病毒樣本。
[0020]2.僵尸木馬網(wǎng)站分析透徹,由于可以長期有效并不受干擾的分析中毒主機的行為特征,則其可更有效地獲取木馬網(wǎng)絡(luò)的內(nèi)部運行規(guī)則。
[0021]3.項目建造成本低,該方案不同于傳統(tǒng)方案,其建造成本大大降低。
【附圖說明】
[0022]圖1是本發(fā)明方法的邏輯框圖;
[0023]圖2是本發(fā)明方法所應(yīng)用的系統(tǒng)部署架構(gòu)圖。
【具體實施方式】
[0024]本發(fā)明的基于大數(shù)據(jù)發(fā)現(xiàn)的僵尸木馬病毒檢測及管控技術(shù)通過從DNS管理系統(tǒng)、DNS大數(shù)據(jù)分析系統(tǒng)和CNCERT(國家互聯(lián)網(wǎng)應(yīng)急中心)等搜集可疑域名,并通過白名單過濾掉信任域名,對可疑域名的攻擊源進行分析,最終通過攻擊源肉機識別出肉機的遠程控制端地址。分析完成后將統(tǒng)計分析數(shù)據(jù)記錄到病毒庫并對僵尸網(wǎng)絡(luò)、病毒進行跟蹤分析,同時對可疑域名進行轉(zhuǎn)發(fā),避免用戶訪問時造成主機感染木馬病毒。
[0025]如圖1所見,系統(tǒng)通過不同的數(shù)據(jù)來源來做分析,經(jīng)過和病毒特征比對、白名單過濾、攻擊訪問行為的共性分析、不同域名的特性比對(是受控端還是控制端,是否為傳播網(wǎng)站),并進一步鎖定控制端,鎖定之后講病毒域名存入病毒庫。并由對這些域名的訪問查看全網(wǎng)病毒的活躍度,并進一步通知用戶或上報。
[0026]具體包括以下四個具體的步驟:收集傳播網(wǎng)站獲取病毒樣本、分析被感染服務(wù)器病毒特征、提示受感染用戶和追蹤并控阻止控制源;
[0027]步驟1,收集傳播網(wǎng)站獲取病毒樣本:采用蜜罐技術(shù),即將傳統(tǒng)服務(wù)器采用虛擬化技術(shù)形成多臺服務(wù)器,作為蜜罐機器,把病毒鏈接下發(fā)給該蜜罐機器,模擬用戶瀏覽器訪問行為,訪問病毒鏈接或者下載病毒木馬程序從而獲得病毒樣本,遍歷所有的可疑網(wǎng)站、域名、全部子路徑獲取病毒樣本,同時在系統(tǒng)防護和控制僵尸木馬網(wǎng)絡(luò)的時候也實時更新系統(tǒng)本身病毒庫的病毒樣本信息,根據(jù)通告上傳和自我追蹤發(fā)現(xiàn)的方式使得系統(tǒng)形成齊全的病毒樣本。通過系統(tǒng)病毒庫里全面的病毒樣本信息,根據(jù)僵尸木馬病毒網(wǎng)絡(luò)域名的關(guān)聯(lián)和肉機控制源及DNS數(shù)據(jù)特征追蹤并分析出控制源(如所有被控制端對控制端的訪問行為呈現(xiàn)一致性的規(guī)律)。(問題同上。)所述病毒鏈接從DNS管理系統(tǒng)、DNS大數(shù)據(jù)分析系統(tǒng)、DNS攻擊防護系統(tǒng)、CNCERT、集團通告及其他第三方系統(tǒng)處獲得;
[0028]步驟2,分析被感染服務(wù)器病毒特征:通過系統(tǒng)病毒庫里的病